Een beveiligingslek in een STARLINK-adminpanel van Subaru maakte het mogelijk om bijna alle auto's van de fabrikant in de Verenigde Staten, Canada en Japan over te nemen, zo stellen onderzoekers Sam Curry en Shubham Shah. Subaru werd over het probleem ingelicht en kwam binnen 24 uur met een patch. STARLINK biedt allerlei 'connected features', waaronder de mogelijkheid om de auto via een app op afstand te starten, openen of sluiten.

Een kwetsbaarheid in het adminpanel maakte het mogelijk om onbeperkte toegang tot alle voertuigen en klantaccounts in de Verenigde Staten, Canada en Japan te krijgen, aldus Curry. Via de toegang die het beveiligingslek gaf had een aanvaller die alleen de achternaam en postcode van een slachtoffer wist, e-mailadres, telefoonnummer of kentekenbewijs, allerlei acties kunnen uitvoeren. Zo was het mogelijk om de auto op afstand te starten, stoppen, vergrendelen, ontgrendelen en de locatie op te vragen.

Verder was het mogelijk om de volledige locatiegeschiedenis van elke auto van het afgelopen jaar op vijf meter nauwkeurig op te vragen, alsmede allerlei persoonlijke gegevens van klanten. Het ging onder andere om noodcontacten, geautoriseerde gebruikers, adresgegevens, facturatiegegevens, laatste vier cijfers van creditcard en voertuigpincode.

Curry en Shah ontdekten het probleem nadat ze eerst op subdomeinen van Subaru hadden gezocht. Zo ontdekten ze het STARLINK-adminpanel. Een kwetsbaarheid in de wachtwoordresetfunctie maakte het mogelijk om een wachtwoordreset uit te voeren, zonder dat hiervoor een bevestigingstoken was vereist. De enige vereiste was een geldig e-mailadres van een willekeurige Subaru-medewerker dat de onderzoekers op internet vonden. Alleen het opgeven van dit adres was voldoende.

Vervolgens verscheen er een tweefactorauthenticatie (2FA) prompt. Die wisten de onderzoekers op kinderlijk eenvoudige wijze te omzeilen door de client-side overlay in hun browser te verwijderen. Daarna bleek het adminpanel gewoon toegankelijk. Via het adminpanel lukte het de onderzoekers om zichzelf als geautoriseerde gebruiker aan de Subaru van een vriend toe te voegen en die vervolgens via het internet te ontgrendelen.

"De auto-industrie is uniek in dat een 18-jarige medewerker uit Texas de facturatiegegevens van een voertuig in Californië kan opvragen en dat laat niet echt alarmbellen afgaan. Het is onderdeel van hun dagelijkse werk. De medewerkers hebben allemaal toegang tot heel veel persoonlijke informatie en het hele ding is gebaseerd op vertrouwen", aldus Curry. "Het lijkt heel erg lastig om deze systemen echt goed te beveiligen als dergelijke brede toegang standaard zit ingebouwd."